Falsche Domain in DKIM-Signatur wenn Domains sehr ähnlich sind

[silvio2]

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
ich bin nicht sicher

Server-Betriebssystem + Version
Debian 12.12

Eingesetzte Server-Virtualisierung-Technologie
KVM

KeyHelp-Version + Build-Nummer
25.2 3483

Problembeschreibung / Fehlermeldungen
Rspamd nimmt für die DKIM-Signatur nicht die Domain des Absenders sondern eine andere Domain, deren Name aber vollständig in der Absenderdomain enthalten ist.
Beispiel:
Ich habe zwei Domains:
1) hotel-name.de
2) landhotel-name.de
Rspamd nimmt wenn ich mit landhotel-name.de sende die erste Domain für die Signatur, weshalb beim Empfänger die DKIM Prüfung fehl schlägt.


Erwartetes Ergebnis
Die Wahl der Signatur sollte exakt(er) mit SLD.TLD übereinstimmen.

Tatsächliches Ergebnis
Es wird der Key einer anderen Domain verwendet.

Zusätzliche Informationen
Ich habe auch versucht die hotel-name.de als Admin für einen anderen User neu anzulegen und dabei eMail und DNS deaktiviert.
Das hat nichts gebracht.

In der Rspamd Doku habe ich das gefunden (https://docs.rspamd.com/modules/dkim_si ... ning_table)

In Rspamd, this table is treated as refile! So you should use glob style regular expressions to do matching.

Das klingt für mich nach einen viel versprechenden Lösungsansatz.
Ich habe allerdings keine Ahnung wo ich da eingreifen muss/kann/darf.

Gruß
Silvio

[Blackmoon]

Rspamd nimmt für die DKIM-Signatur nicht die Domain des Absenders sondern eine andere Domain, deren Name aber vollständig in der Absenderdomain enthalten ist.

Verschickst du die E-Mails jeweils über ein E-Mail Postfach, welches für jede Domain existiert?
Verwaltest du die DNS Einträge für beide Domains auch über KeyHelp oder durch einen externen DNS-Service?

Rspamd nimmt wenn ich mit landhotel-name.de sende die erste Domain für die Signatur, weshalb beim Empfänger die DKIM Prüfung fehl schlägt.

Wie und wo hast die das herausgefunden?

[silvio2]

Ich habe für jede Domain eigene Postfächer, über die ich auch sende.
Wenn ich mit server@landhotel-name.de sende und dabei die Domain hotel-server.de im KH nicht angelegt ist, funktioniert es.
Sobald die Domain hotel-name.de angelegt ist (selbst für einen anderen Benutzer/Kunde und ohne Mailservice) wird der Domainkey von hotel-name.de genommen.
Sende ich mit hotel-name.de ist auch alles in Ordnung.

Erkennen tue ich das in der Signatur bzw. Online-Dmarc-Tests.
Da steht dann im Header:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=hotel-name.de;
s=default; t=1757412707;
...
From: server@landhotel-name.de

Gemerkt habe ich das aber auch erst, als mir die DMARC-Reports von google und anderen Mailhostern anschaute.

Ich nutze einen externen DNS-Service. Das sollte aber keine Rolle spielen.
Die Keys sind dort richtig hinterlegt, sonst würde die Prüfung ja generell fehl schlagen.

[Tobi]

@Alex
Kannst du das so einstellen, dass die DKIM Keys nur erzeugt werden wenn die Domain zum Versand von Mails freigegeben wird?
Aktuell wird der DKIM Key erstellt, unabhängig ob man überhaupt Mails versenden darf.
Zum Empfang von Mails braucht es keinen DKIM Key.

[Florian]

Hallo,

das ist ein altbekanntes Problem und wurde auch schon von uns gemeldet. Bisher hat sich keiner drum gekümmert:

https://github.com/rspamd/rspamd/issues/5024

Wir schauen aber mal noch die Hinweise unter https://docs.rspamd.com/modules/dkim_si ... ning_table an